Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.01.2020
Naslov: Uporaba biometrije v okviru projekta
Številka: 07121-1/2020/66
Vsebina: Biometrija, Statistika in raziskovanje
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe biometrije v razvojno – raziskovalnih projektih.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v okviru mnenja presojati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

Glede predloga ZVOP-2 IP pojasnjuje, da do sedaj javno dostopne verzije predloga zakona sicer (kot navajate v vašem zaprosilu za mnenje) res vsebujejo določbe, ki predvidevajo nekoliko drugačno ureditev biometrijskih ukrepov, vendar gre trenutno še vedno le za predlog. IP zato mnenje izdaja v skladu s trenutno veljavno zakonsko ureditvijo - ZVOP-1.

 

V zvezi z izvajanjem biometrijskih ukrepov IP pojasnjuje, da zasebni sektor, kamor spada tudi vaše podjetje, v skladu z določbo prvega odstavka 80. člena ZVOP-1 lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom (kar v konkretnem primeru najverjetneje ni), je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe (torej vaše podjetje), dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu (v RS je to IP) opis nameravanih ukrepov in razloge za njihovo uvedbo. Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu z zakonom. Rok se lahko podaljša za največ en mesec, če bi uvajanje biometrijskih ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku. Upravljavec sme izvajati biometrijske ukrepe šele po prejemu odločbe IP, s katero je izvajanje biometrijskih ukrepov dovoljeno.

 

Kakršnekoli biometrijske ukrepe (tudi za namen testiranja posamezne rešitve)  je v zasebnem sektorju torej dopustno izvajati le v skladu z navedenimi pogoji in le nad svojimi zaposlenimi, ne pa tudi nad drugimi osebami (npr. strankami, obiskovalci, pogodbenimi izvajalci, …). Med navedene druge osebe v konkretnem primeru spadajo tudi udeleženci v razvojno – raziskovalnem projektu.

 

Več o sami uvedbi biometrijskih ukrepov si lahko preberete v Smernicah glede uvedbe biometrijskih ukrepov, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Biometrija_-_smernice.pdf

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka